Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gleich vier Schwachstellen in der Kryptographie-Bibliothek Bouncy Castle. Betroffen sind Verschlüsselung und digitale Signaturen. Im schlimmsten Fall können Angreifer geschützte Daten entschlüsseln oder gefälschte Zertifikate als gültig ausgeben. Wer Bouncy Castle einsetzt, sollte die verfügbaren Updates zügig einspielen.
Die Tragweite ergibt sich aus der Verbreitung: Bouncy Castle ist eine quelloffene Bibliothek für mehrere Programmiersprachen, hauptsächlich Java und C#/.NET. Sie liefert Implementierungen für Verschlüsselungsalgorithmen, Hash-Funktionen, digitale Signaturen und Public-Key-Infrastrukturen. Genau deshalb wiegen ungepatchte Lücken hier besonders schwer.
Das BSI listet vier Sicherheitslücken:
- CVE-2025-14813 (CVSS 9.3)
- CVE-2026-3505 (CVSS 8.7)
- CVE-2026-5588 (CVSS 6.3)
- CVE-2026-0636 (CVSS 5.5)
Schwache Verschlüsselung als größtes Risiko
Am gefährlichsten ist CVE-2025-14813. Die Lücke wurde bereits im vergangenen Jahr entdeckt, aber wie die übrigen erst am 15. April 2026 veröffentlicht. Nach wie vor kommen betroffene Produkte hinzu. Der Fehler steckt in der Komponente bcprov, die für die GOST-CTR-Verschlüsselung zuständig ist. Weil die Implementierung nur ein einzelnes Byte als Zähler nutzte, konnte der Modus nicht mehr als 255 Blöcke ver- und entschlüsseln. Das liegt unterhalb der Spezifikation, nach der der Zähler einen Bereich von n/2 Bits abdecken sollte. Die Folge: Bereits nach 256 Blöcken wiederholt sich der Keystream. Angreifer könnten Chiffretext-Blöcke mit identischem Keystream verknüpfen und so Rückschlüsse auf die Klartexte ziehen oder diese teils sogar rekonstruieren. Betroffen sind alle Versionen vor 1.84.
Denial of Service durch manipulierte PGP-Nachrichten
CVE-2026-3505 beschreibt einen unkontrollierten Ressourcenverbrauch in der Komponente bcpg. Die Bibliothek prüft nicht, wie groß der Datenblock eines eingehenden PGP-AEAD-Pakets sein darf, bevor sie Speicher reserviert. Ein Angreifer kann eine PGP-Nachricht mit AEAD-verschlüsselter Payload und einer absurd großen Blockgröße präparieren. Versucht Bouncy Castle, entsprechend viel Speicher zu belegen, droht ein Denial of Service. Behoben ist das Problem in den aktuellen Java-Versionen.
Die beiden übrigen Lücken sind weniger kritisch, sollten aber ebenfalls geschlossen werden. CVE-2026-5588 betrifft eine fehlerhafte Signaturprüfung im Modul bcpkix. Unter bestimmten Bedingungen werden Prüfungen nicht korrekt ausgeführt, sodass manipulierte oder gefälschte Signaturen und Zertifikate fälschlich als gültig durchgehen. CVE-2026-0636 ist eine LDAP-Injection im Modul bcprov: Sonderzeichen werden nicht ausreichend bereinigt, wodurch Angreifer eigene LDAP-Anweisungen einschleusen und vertrauliche Informationen offenlegen könnten.
Für alle vier Schwachstellen stehen Fixes bereit. Der pragmatische Weg führt über ein Update auf Bouncy Castle 1.84 oder neuer. Danach solltest du prüfen, ob deine Anwendungen die gepatchte Version auch tatsächlich einbinden.